View
409
Download
4
Category
Preview:
Citation preview
3 скакуна, несущих информационную
безопасность вперед и стратегия
Cisco по их обузданию
Лукацкий Алексей
alukatsk@cisco.com
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.
3 скакуна информационной безопасности
Угрозы
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.3
Глобальный
рынок кибер-
преступности:
$450B-$1TБанковский аккаунт>$1000
зависит от типа и баланса
$
DDoS as a Service
~$7/час
DDoS
Медицинские записи>$50
Мобильное ВПО$150
Разработка ВПО$2500
(коммерческое ВПО)
SSN$1
Аккаунт Facebook$1 за аккаунт с 15 друзьями
Данные кредиток$0.25−$60
Спам$50/500K emails
Эксплойты$100k-$300K
Как хакеры зарабатывают деньги?
Время обнаружения вторжений очень велико
Bitglass
20
5
Trustwav
e
188
Mandiant
229
2287 дней – один из
самых долгих
инцидентов в 2014-м
году
Ponemon
206
HP
416
Symantec
305
Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
AnglerНепрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Социальный
инжиниринг
Сайты-
однодневки
TTD
Меры
защитыБлокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
Скорость
Дополнительная информация
AMP + FirePOWER
AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании
Cognitive Security• Передовая служба исследований
• Улучшенные технологии поведенческого
анализа в режиме реального времени
2013
2015...2014
Приобретение компании Sourcefire Security• Ведущие в отрасли СОПВ нового поколения
• Мониторинг сетевой активности
• Advanced Malware Protection
• Разработки отдела по исследованию уязвимостей (VRT)
• Инновации в ПО с открытым исходным кодом (технология OpenAppID)
Приобретение компании
ThreatGRID• Коллективный анализ вредоносного
кода
• Анализ угроз
Коллективные исследования Cisco –подразделение Talos по исследованию и анализу угроз• Подразделение Sourcefire по исследованию уязвимостей — VRT
• Подразделене Cisco по исследованию и информированию об угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMPКоллективный анализ вредоносного
кода > Система коллективной
информационной безопасности
СОВРЕМЕННЫЕ АЛГОРИТМЫПоведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДАТеория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫУчет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗПоведенческий анализ
ОБНАРУЖЕНО
Изменение бизнес-моделей
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.11
В 2016 продажа
медицинских носимых
устройств достигнет
$100M ежегодно
90% автомобилей будет
подключено к Интернет к
2020
Больше облачных
сервисов используется,
чем известно ИТ
5–10x
14%Организаций получают
вредоносный код
через социальные
сети и Web-
приложения
МОБИЛЬНОСТЬ
ОБЛАКА
Мы вступаем в цифровую эпоху
Интернет
вещей
Цифровая
компания
Десктопы Бизнес-приложения
Сетевая инфраструктура
Так было в прошлом
Критическая инфраструктура(Amazon, Rackspace, Windows Azure и т.д.)
Бизнес-приложения(Salesforce, Marketo,DocuSign и т.д.)
Мобильные пользователи
Удаленные пользователи
Десктопы Бизнес-приложения
Сетевая инфраструктура
Что сегодня и завтра?
Что предлагает Cisco?
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.15
Гипотезы безопасности Cisco
Консалтинг Интеграци
я
УправлениеЗнание угроз ПлатформыВидимость
Операционный фокус Нехватка людей
+Цифровая эволюция
+
Требуются изменения в ИБ
CLUS: AMP
Data Center
Закрыта
сделка по
Sourcefire
Security
for ACI
RSAC: AMP
Everywhere
OpenAppID
2014 ASR
Global
Security Sales
Organization
Приобретена
Neohapsis
AMP Everywhere
Приобретена
ThreatGRID
Cisco ASA with
FirePOWER
Services
Security
and Trust
Organization
Managed
Threat
Defense
TalosIntegrated
Threat
Defense
2013 2015
Security
Everywhere
Закрыта
сделка по
OpenDNS
Последние инновации Cisco в области
безопасности
Приобретена
Portcullis
Приобретение
Lancope
Филиалы
ЛВСПериметр
АСУ ТП
ЦОД
Оконечные
устройства
Интеграция и максимальное покрытие от уровня сети до
оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность
Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
Что
Когда
Где
Как
Повсеместно означает также и интеграцию между
решениями Cisco
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом
контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в
сеть
Физическая или
виртуальная
машина
Контекстконтроллер
ISE pxGrid
Интеграция с Cisco Mobility Services Engine (MSE)
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Преимущества
Что нового в ISE 2.0?
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
пользователей
Возможности
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения
• Повторное предоставление доступа на основе нового местоположения
Холл Палата Лаборатория Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациентаМестоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
8 новых партнеров pxGrid
Что нового в ISE 2.0?
Структура pxGrid позволяет Cisco
интегрироваться с партнерами
экосистемы для предоставления
пользователям решения, которое
соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых
для событий безопасности и сети,
благодаря упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Преимущества
Упрощенное управление
Единое место для управления
политиками благодаря интеграции
ISE с решениями сторонних
производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать
политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации
серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы
безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и
расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Повсеместно… Даже там, где еще нет Cisco. Пока нет
Преимущества
Что нового в ISE 2.0?
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
Максимальное использование
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для
работы с ISE
• Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
Повсеместный AMP
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect
Повсеместный AMP Threat Grid
Подозрительны
й файл
Отчет
Периметр
ПК
Firewall
& UTM
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
Integration
S E C U R I T
Y
Security
monitoring
platforms
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный
файл
Premium
content feedsSecurity Teams
Повсеместно… с учетом жизненного цикла атаки
Web
Filtering and
Reputation
Security
Intelligence
File Type
Blocking
Application
Visibility &
Control
Indicators of
CompromiseTraffic
Intelligence
File
ReputationCognitive
Threat
Analytics
XXX X
После
www.website.com
X
File
Retrospection
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
Allow Warn BlockPartial
BlockОсновной офис
ASA/NGIPSAMP
ApplianceWSA ESA
AMP for
EndpointsАдмин
Перенап
равление
трафика
Угрозы
HQ
File
Sandboxing
X
Пример: Cisco Advanced Malware Protection
Web
FilteringCloud Access
Security
Web
ReputationApplication
Visibility and
Control
Parallel AV
ScanningData-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
XX X X
ДоПослеВо время
X
File
Retrospection
www
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial BlockОсновной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client АдминПеренаправл
е-ние
трафика
www
HQ
File
Sandboxing
X
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Пример: Cisco Web Security Appliance
www
Mobile UserУдаленный офис
www www
Allow Warn Block Partial BlockОсновной офис
ASA StandaloneWSA ISR G2 AnyConnect® АдминПеренаправ
ление
трафика
www
HQ
ДоПослеВо время
File
Retrospection
File
Sandboxing
Webpage
Outbreak
Intelligence
ISR 4k
Отчеты
Работа с логами
Управление
X
Web
Reputation
and Filtering
SaaS
Anomaly
Detection
X
File
Reputation
X
Anti-Malware
Cognitive
Threat
Analytics
X
SaaS Visibility
CAS
CAS
X
Cloud Data
Loss
Prevention
CAS
Application
Visibility
and Control
Мобильный
пользователь
X
SaaS
Anomaly
Detection
www.website.
com
AMP AMP TG CTA
Пример: Cisco Cloud Web Security
Наша программа на Cisco Connect
Промышленные сети
Бизнес-приложения(Salesforce, Marketo,DocuSign и т.д.)
Мобильные пользователи
ЦОД
Десктопы Бизнес-приложения
Критическая инфраструктура
О чем мы будем говорить на Cisco Connect?
Михаил Кадер
Руслан Иванов
Михаил Кадер
Алексей Лукацкий
Оператор связи
Назим Латыпаев
Алексей Лукацкий
Руслан Иванов
Станислав Рыпалов
Оксана Санникова
Алексей Лукацкий
Назим Латыпаев
Алексей Лукацкий
Cisco Cloud Access Security
И не сможете использовать
почту без защиты
? ??
? ?
??
??? ?
Вы должны защитить их
Вы не сможете работать
без электронной почтыКогда вы внедряете
облачные приложения
Каждый раз, внедряя новую технологию,
необходимо обеспечивать ее защиту
Облачные приложения становятся неотъемлемой
частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы
Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:
• Не видит, какие используются приложения
• Не может идентифицировать опасные приложения
• Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72%ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет
управляться вне ИТ-отделов
35%
«Теневые» ИТИспользование
несанкционированных
приложений
Источник: 1CIO Insight; 2,3Gartner
Понимание рисков использования данных в
облачных приложениях
Это проблема, так как ваш ИТ-отдел:
• Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
• Не в состоянии заблокировать входящий
опасный контент
• Не в силах остановить рискованные действия
пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90% приложений могут стать опасными при неправильном
использовании2
72% файлов на каждого пользователя открыто используется
в организациях3
185
«Теневые» данныеИспользование санкционированных
приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach
Study;2CIO Insight; 3Elastica
Payroll.docx
Пользователи свободно обмениваются информацией и
это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных
приложений и «теневых» данных
При использовании облачных
приложений ИТ-отдел не может
контролировать все разрешения
на совместное использование
20% совместно
используемых файлов
содержит данные,
связанные с соблюдением
нормативов
Бизнес
В вопросах защиты своей информации не
полагайтесь на поставщиков приложений
Поставщики приложений
Облачные
приложения
75% мобильных приложений не прошли базовые
тесты безопасности1
... и они не могут контролировать поведение
пользователей
Источник: 1: Gartner
Бизнес
Обеспечение безопасности облачного доступа —
это ваша ответственность
Поставщики приложений
Облачные
приложения
CAS обеспечивает мониторинг, управление и
защиту на всем протяжении атаки
Аудит
Определение
облачных
приложений и
служб,
используемых
сотрудниками
Расследование
Изучение вторжений
для изоляции
уязвимостей в системе
безопасности
Обнаружение
Определение
облачного трафика,
являющегося
причиной
вредоносного
поведения
И многое другое .......
До Во время После
Жизненный цикл атаки
Прил
ож
ения д
ля
об
еспече
ния
безо
пасности
Мини-
прогр
ам
мы
Securle
t
CA
SB
Мини-программы Securlet
Отдельные приложения обеспечения безопасности, предоставляющие преимущества
всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS,
а не для всей облачной экосистемы.
Шлюз CASB
Подключение к шлюзу Elastica для получения дополнительных
данных об определенных облачных службах и реализации
встроенной политики
Защита
Защита
предприятия путем
создания и
реализации
индивидуальных
политик
ЗащитаОбнаружениеАудит Расследование
Оценка
аудита
Оценка рисков
«теневых» ИТ
ЗащитаStreamIQ ThreatScore
Контроль и
анализ
Securlet
Шлюз
Оценка
рисков
«теневых»
данных
Мини-программы Securelet Шлюз Elastica
И многое другое .......
Перенаправление трафика через систему Cisco
Cloud Access Security
CAS предоставляет платформу обеспечения
безопасности облачных приложений
Шлюз CAS(прозрачный мониторинг)
РАССЛЕДОВАНИЕ инцидентов и
реагирование
Политика
API-интерфейсы облачных
приложений(<1 мин для внедрения)
Журналы межсетевых
экранов и прокси-серверовASA, WSA, CWS и других
АУДИТ всех «теневых» ИТ и данных
CAS
CloudSOC™
Несколько источников
входящего трафика
Стек платформы обеспечения безопасности
облачных приложений CAS
Все категории данных
анализируются на одной
платформе данных
ЗАЩИТА благодаря детализированному
контролю применения политик для
каждого приложения
ОБНАРУЖЕНИЕ вторжения и эксплойтов
в облачных приложениях
ISE pxGrid
Отчет оценки рисков
«теневых» ИТ
Business
Readiness Rating™
Оценка аудита
Оценка рисков «теневых»
данных
Посл
е
StreamIQ™
ThreatScore™
ContentIQ™
Отчетность
и аналитика
Cisco Cloud Access Security
Облачные
приложения? ?
???? ?
IO IOI
IO IOI
ЗащитаIO IOI
IO IOI
Облачная
политика SOC IO IOI
IO IOI
?
5417
IO IOI
IO IOI
?
?
IO IOI
Аудит
Обнаружение
?
Рассле-
дование
WSA
До
Во
вре
мя
CAS CloudSOC™
Другие
устройства
ASA
Совместно с
Данные Учетная запись Пользователь
Центр
управления
безопасностьюАнализ
и контроль
Securlet™ Шлюз
OpenDNS
Недостаток квалифицированных
специалистов в сфере безопасности
Для многих средств требуется
больше ресурсов, чем
имеется для выполнения
работы
50% компьютеров —мобильные
70% офисов — удаленные
Большинство мобильных и удаленных
сотрудников не всегда включают
VPN, большинство филиалов не
обеспечивают обратный транзит
трафика, а большая часть новых
оконечных устройств только
обнаруживают угрозы
70-90% вредоносного ПО уникально для каждой
организации
Средства на основе сигнатур,
реактивный интеллектуальный
анализ угроз и отдельное
применение политик безопасности
не могут опередить атаки
Общие проблемы безопасности
3 подхода к защите мобильных пользователей
может требовать
дополнительной экспертизы и
ресурсов
Обнаруживать IOCs &аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от
пользователей изменения
поведения и может быть
сложным во внедрении
Изолировать приложения & данные
в гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую
видимость и блокирование *если*
есть возможность блокировать по
любому порту, протоколу или
приложению
Предотвращать соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0
OpenDNS: эволюция бизнес-модели
Безопасный
Образование
Прогнозирование Расширенная защита
За пределамипериметра
Быстрый
домашнихюзеров
ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLAПрименение Служба сетевой безопасности защищает любое устройство, в любом месте
INVESTIGATEАналитикаОбнаружение и прогнозирование атак до того, как они происходят
208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет
Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs
Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире
Расследование атак, используя «живую» карту Интернет-активности
OpenDNS UMBRELLA
Уникальная аналитика для классификации
Анализ
Статистические модели и человеческий
интеллект
Идентификация
вероятно вредоносныхсайтов
Захват
С миллионов точек данных за секунды
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg
DNS запросов в день
80BBGP пиринговых партнеров
500
Ежедневно использующих пользователей
65MКорпоративных заказчиков
10K
Масштаб имеет значение
Предотвращение угрозНе просто обнаружение угроз
Защита внутри и вне сетиНе ограничивается устройствами, передающими трафик через локальные устройства
Интеграция с партнерским и пользовательским ПОНе требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443
Постоянное обновлениеУстройству не нужно обращаться к VPN на локальном сервере для получения обновлений
UMBRELLAПрименение политик
Новый уровень защиты от вторжений
ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬПРОЧИЙТРАФИК
ВЕБ-ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ
ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬПРОЧИЙТРАФИК
ВЕБ-ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ
ПОЧТЫ
ВНЕ СЕТИ
ASAблокировка в сети по IP-адресу, URL -адресу или пакету
ESA/CESблокировка
по отправителю или контенту
WSA/CWSблокировка по URL-адресу или контенту через прокси-сервер
ESA/CESблокировка
по отправителю или контенту
CWSблокировка по URL-адресу или контенту через прокси-сервер
Umbrellaблокировка по доменуа также по IP-адресу или URL -адресу
Umbrellaблокировка по доменуа также по IP-адресу или URL -адресу
Место Umbrella в инфраструктуре Cisco
Как Umbrella дополняет AMP
Через различные технологии & оба
защищают на уровне IP
Туннели на клиенте блокируют
некоторые соединения с DNS в
облаке, а AMP фиксирует
соединения & блокирует соединения
на устройстве
*Клиент получает обновления IP-списка
каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector защищает на уровне
файлов
облачная репутация будет
блокировать & помещать в
карантин вредоносные файлы на
лету и в ретроспективе
*email-вложения обходят OpenDNS, а
не-файловые web-эксплойты обходят
AMP
OpenDNS клиент защищается на уровне
DNS
перед установкой IP-соединения &
часто перед загрузкой файлов. Мы
также блокируем вредоносные
домены
*DNS–запросы, использующие не-HTTP,
будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IPФАЙЛ
Интеграция на базе API
АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ
ПЛАТФОРМЫ АНАЛИЗА УГРОЗ
Другие+
СВОИ+
Индикаторы
компрометации
ОБНАРУЖЕНИЕ УГРОЗ
Другие+
UMBRELLAEnforcement & Visibility
Логи или заблокированные
домены отправляются из систем партнеров или
заказчиков
Живая карта DNS запросов и других контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование вредоносных доменов
Интеграция данных ИБ с глобальной информацией
Console API
OpenDNS INVESTIGATE
INVESTIGATE
WHOIS record data
ASN attribution
IP geolocation
IP reputation scores
Domain reputation scores
Domain co-occurrences
Anomaly detection (DGAs, FFNs)DNS request patterns/geo. distribution
Passive DNS database
Типы предоставляемой информации
ЗАКАЗЧИК
СООБЩЕСТВОЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP Threat Grid
UMBRELLAПрименение политик и мониторинг
Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты
Регистрация или блокировка всей
Интернет-активности, предназначенной для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS
OpenDNS Umbrella
OpenDNS InvestigateOpenDNS Investigate
опережение будущих атак
с помощью блокировки
вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов
и утечки с любого порта, протокола
или приложения
на уровне DNS и IP
анализ угроз на основе
запросов в реальном времени
всех доменов и IP-адресов
в Интернете
ДООбнаружение
Внедрение
политик
Усиление
ПОСЛЕОпределение
масштаба
Сдерживание
Восстановление
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл
атаки
А если я маленький, но хочу
OpenDNS? Используйте Cisco Threat
Awareness Service
Изменение
бизнес-моделей
Сложность и
фрагментация
Динамика
ландшафта угроз
Производителей
средств защиты
на RSA
Возросла
потребность в
кадрах ИБ
373 12x
Среднее число вендоров
у корпоративного
заказчика
50
Сложность ЛюдиФрагментаци
я
Инвестиции в средства защиты растут. Но
средства защиты не взаимодействуют
Обеспечивает взгляд на угрозы,
исходящие из своей компании, и
направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в
безопасности
Заказчики хотят Threat Intelligence которая:
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность
Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence
А если я большой, но людей все
равно не хватает? Используйте Cisco
Active Threat Analytics
Услуги по безопасности
Optimization
Migration
Integration
Program Strategy
Architecture & Design
Assessments
Product Support Hosted Security Managed Security
Управляемые
услуги
Консалтинг Интеграция
Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки
квалифицированных кадров, многие организации будут больше
полагаться на внешних поставщиков услуг для управления
рисками информационной безопасности
ПерсоналОценка
Автоматизация
/ Аналитика
Гибкие бизнес-
модели Гибкость
Политика приватности
Полный захват
пакетов /
Анализ
метаданных
пакетов
Cisco
Advanced
Threat
Detection Обнаружение
угроз в Web-
трафике
Нормализация
и проверка
данных
Обнаружение
угроз в
трафике Email
Обнаружение
вторжений
Автоматизация
локализации
Исследования
угроз и
уязвимостей
Расследования
сетевых
инцидентов
Фокусировка на отраслях
(например, производство,
финансы, промышленность)
24x7
мониторинг
Advanced Threat Analytics: компоненты
архитектуры
Сторона заказчикаЦОД заказчика
Заказчик A VRF
HTTP/HTTPS
Proxy
Inte
rne
t V
RF
Защищенное соединение
Passiv
e T
ap
/ I
nte
llig
en
t V
isib
ilit
y S
wit
ch
Dir
ect
Co
nn
ecti
on
Заказчик
HTTP Malware
Analysis
Email Malware
Analysis
Protocol Metadata
Forensics
Full-Packet
Forensics
Signature-Based
IDS
Protocol Anomaly
Detection
NetFlow / HTTP
Anomaly
Detection
Context
Repository
NetFlow
Aggregation
Telemetry
Aggregation
Access C
ontr
ol
VA Console
Malware
Console /
Sandbox
IME Console
Infrastructure
Monitoring
Authentication
Services
Firew
all
Firew
all
SMTP Services
SOC
Investigator I
Investigator II
Incident
Manager
Authentication
Services
Mg
mt
VR
F
Active Directory
Investigator
Portal
SO
C V
RF
Alerting /
Ticketing System
Customer Portal
Po
rta
l V
RF
Threat
Intelligence
Inte
l V
RF
Anomaly
Correlation
Cisco Cloud (DC)
Internet
1) Все данные сохраняются на стороне заказчика
2) Все ATA-устройстваработают в пассивном режиме, но в реальном времени
Threat Intelligence
Feeds
Обогащенные данные
ATA построена на базе OpenSOC
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная
телеметрия
Другая потоковая
телеметрия
Parse +
Format
Enrich
Alert
Log Mining and Analytics
Big Data Exploration,Predictive Modelling
Network Packet Mining
and PCAP Reconstruction
Приложения + аналитика
Интеграция с отечественными
разработчиками
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.74
Cisco Security API
OpenDNS API
MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API
ISIS API
Host Input APIRemediation API
Развитие интеграционных решений
Инфраструктура API
ДОПолитика и контроль
ПОСЛЕАнализ и
восстановлениеОбнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NACУправление
уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEMВизуализацияNetwork Access
Taps
Развитие NME-RVPN: доверенная платформа
UCS-EN
Доверенная платформа UCS-EN120SRU Производится в России
Поддерживается на Cisco ISR 29xx/39xx/4xxx
Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ:
СКЗИ S-Terra CSP VPN Gate
СКЗИ ViPNet Координатор
СКЗИ Dionis NX
МСЭ прикладного уровня Positive Technologies Application Firewall
СОВ ViPNet IDS
Базовый доверенный модуль (БДМ) Элвис+
TSS VPN
Ведутся работы и с рядом других российских разработчиков
Интеграция с PT MaxPatrol
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFWи Cisco FirePOWER NGIPS
В заключение
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.79
Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
MalwareSandbox
IAM
Antivirus
IDS
Firewall
VPN
NGFW
Данные
Бездумная трата
денег на новинки
вместо того,
чтобы сесть и
подумать о
целостной
системе защиты
Данные
Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
MalwareSandbox
IAM
Antivirus
IDSFirewall
VPN
NGFW
Время обнаружения:
200 дней
Только интегрированная защита может идти в ногу с
угрозами
Данные
Systemic Response
Время обнаружения:
46 часов
А как же третий скакун?
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.83
Не забудьте про «после» Cisco Connect 20
До Серия вводных презентаций в формате вебинаров,
посвященных различным аспектам и продуктам в области ИБ, которые будут проходить до конференции Cisco Connect
Во время Глубокие идеологические и архитектурные
презентации решений компании Cisco непосредственно на самой конференции CiscoConnect
После Детальные технические семинары по наиболее
важным продуктам и технологиям с учетом соответствия нормативным требованиям и задач бизнеса, предлагаемые вашему вниманию после конференции Cisco Connect
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
CiscoRu
Ваше мнение очень важно для нас!
Оцените, пожалуйста, презентацию
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.
Recommended